大悲剧，写了个模拟挂几天就被检测出来了-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 大悲剧，写了个模拟挂几天就被检测出来了 0.00雪花

发表于: 2013-5-3 09:58 80028

[旧帖] 大悲剧，写了个模拟挂几天就被检测出来了 0.00雪花

asrn

2013-5-3 09:58

80028

查看主题内容

收藏・14

免费・0

支持

最新回复 (127) ◀ 1 2 3 4 5 6 ▶
asrn 雪币： 95 活跃值： (64) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 65 粉丝 2 关注私信	asrn 1 26 楼驱动下发送按键消息给键盘鼠标类设备，和真实操作按键没有什么区别，用IRPTRACE看过，有消息通过。 2013-5-3 12:17 0
asrn 雪币： 95 活跃值： (64) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 65 粉丝 2 关注私信	asrn 1 27 楼刷金币，当然都是游戏中合法的任务 2013-5-3 12:18 0
凉风雪币： 533 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	凉风 28 楼你就一个模拟按键不能刷吧要读内存数据至少也得找图找色吧 2013-5-3 12:23 0
asrn 雪币： 95 活跃值： (64) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 65 粉丝 2 关注私信	asrn 1 29 楼找图是通过调用系统api截图实现的。 2013-5-3 12:29 0
凉风雪币： 533 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	凉风 30 楼给你个建议你弄4台电脑一台全自动一台半自动一台开挂手动一台开挂不动哈哈会有答案的 2013-5-3 12:42 0
asrn 雪币： 95 活跃值： (64) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 65 粉丝 2 关注私信	asrn 1 31 楼在不知道具体情况下，做这种实验给自己挖坑呢 2013-5-3 13:07 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 32 楼 np对相关的gdi的api在ring 0也进行hook的，估计你这个的防护也会这么做的。 2013-5-3 13:44 0
asrn 雪币： 95 活跃值： (64) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 65 粉丝 2 关注私信	asrn 1 33 楼我看这游戏没加载驱动，r3层hook貌似没有gdi函数，只有反调试的debugbreakpoint之类的hook 2013-5-3 13:53 0
hai路雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 69 粉丝 0 关注私信	hai路 34 楼唉，不能用平常手段，他会想到 2013-5-3 13:59 0
将飞雪币： 700 活跃值： (179) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	将飞 35 楼我记得N年前楼上有人猜的那个xx回合制游戏某次更新中出现过驱动其中对NtGdiGetPixel、NtUserMessageCall 做过处理，后来没再看不清楚现在是什么情况 2013-5-5 23:16 0
asdaqwe 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 10 粉丝 0 关注私信	asdaqwe 36 楼肯定是网yi的游戏网易的封一切我基本上就研究它... 2013-5-5 23:37 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 37 楼直接传递IRP还不够底层哦，如果对方做得更底层的话就…… 2013-5-6 01:58 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 38 楼或者它查了查特征码啥的，然后它的特征码有找得比较准，LZ正好躺枪 2013-5-6 02:00 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 39 楼喊简单啊.你鼠标不动啊,键盘不动啊然后游戏内有可能还有个窗体啊,.那个窗体跟游戏同步接收消息的啊 .一个有消息一个没消息你就去了啊 2013-5-7 19:24 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 40 楼无知你驱动下发的消息怎么能和手动的没区别手动操作鼠标会发出连续的移动消息你有吗西游的检测完全可以做到打开你的进程看你的内存上传不就是个read copy 操作吗有多大的工作量现在都是什么U了硬件的提升直接打击的是谁？看你的连续发问觉得你连Windows的机制都没了解三石完全可以在安装客户端的时候安装ROOTKIT 别忘了315曝光他的好事到现在依然天马行空 2013-5-7 20:19 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 41 楼你完全胡扯怎么没H 影子里的函数你用的什么看的？明明白白的就是H了完全就是对付按键的人家完全可以学习360的方法你洗洗360 就知道了 2013-5-7 20:23 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 42 楼你说的没错属性设为不显示窗口它的游戏它想怎么写都行写多少线程都行这就163 2013-5-7 20:24 0
asrn 雪币： 95 活跃值： (64) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 65 粉丝 2 关注私信	asrn 1 43 楼 XueTr没看到有什么问题 2013-5-7 21:07 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 44 楼楼主。。。做模拟的原则是越高层越逼真你搞个鼠标键盘模拟还从驱动层做，更听到有人说需要更底层，那你不如直接发包呢。。对于模拟的检测，一般Server的做法是通过建模分析比对。 2013-5-7 21:17 0
wltext 雪币： 18 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 48 粉丝 0 关注私信	wltext 45 楼楼上讲的好，很可能是你的代码太自动了，命中率太高了，超出了正常范围，肯定被检查出啦 2013-5-7 21:52 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 46 楼对的.我的一朋友以前做网易的就是用切换窗口加鼠标移动.发送键盘消息.完全模拟.后来他改用虚拟硬件来输入.虚拟鼠标键盘.目测这样是极限做法 2013-5-7 21:53 0
asrn 雪币： 95 活跃值： (64) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 65 粉丝 2 关注私信	asrn 1 47 楼请有兴趣的朋友移步到下面这个帖子讨论，源码已经公开。 http://bbs.pediy.com/showthread.php?t=171203 2013-5-7 23:54 0
qianbidao 雪币： 47 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 25 粉丝 0 关注私信	qianbidao 48 楼影藏挂的进程等加强保护措施 2013-5-8 00:07 0
abutter 雪币： 28 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	abutter 49 楼按键速度判断之类的？ 2013-5-9 15:17 0
motototo 雪币： 691 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 31 粉丝 0 关注私信	motototo 50 楼我觉得问题可能在这里 KeyboardClassServiceCallback 2013-5-9 16:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

asrn

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (127) ◀ 1 2 3 4 5 6 ▶
asrn 雪币： 95 活跃值： (64) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 65 粉丝 2 关注私信	asrn 1 26 楼驱动下发送按键消息给键盘鼠标类设备，和真实操作按键没有什么区别，用IRPTRACE看过，有消息通过。 2013-5-3 12:17 0
asrn 雪币： 95 活跃值： (64) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 65 粉丝 2 关注私信	asrn 1 27 楼刷金币，当然都是游戏中合法的任务 2013-5-3 12:18 0
凉风雪币： 533 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	凉风 28 楼你就一个模拟按键不能刷吧要读内存数据至少也得找图找色吧 2013-5-3 12:23 0
asrn 雪币： 95 活跃值： (64) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 65 粉丝 2 关注私信	asrn 1 29 楼找图是通过调用系统api截图实现的。 2013-5-3 12:29 0
凉风雪币： 533 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	凉风 30 楼给你个建议你弄4台电脑一台全自动一台半自动一台开挂手动一台开挂不动哈哈会有答案的 2013-5-3 12:42 0
asrn 雪币： 95 活跃值： (64) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 65 粉丝 2 关注私信	asrn 1 31 楼在不知道具体情况下，做这种实验给自己挖坑呢 2013-5-3 13:07 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 32 楼 np对相关的gdi的api在ring 0也进行hook的，估计你这个的防护也会这么做的。 2013-5-3 13:44 0
asrn 雪币： 95 活跃值： (64) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 65 粉丝 2 关注私信	asrn 1 33 楼我看这游戏没加载驱动，r3层hook貌似没有gdi函数，只有反调试的debugbreakpoint之类的hook 2013-5-3 13:53 0
hai路雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 69 粉丝 0 关注私信	hai路 34 楼唉，不能用平常手段，他会想到 2013-5-3 13:59 0
将飞雪币： 700 活跃值： (179) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	将飞 35 楼我记得N年前楼上有人猜的那个xx回合制游戏某次更新中出现过驱动其中对NtGdiGetPixel、NtUserMessageCall 做过处理，后来没再看不清楚现在是什么情况 2013-5-5 23:16 0
asdaqwe 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 10 粉丝 0 关注私信	asdaqwe 36 楼肯定是网yi的游戏网易的封一切我基本上就研究它... 2013-5-5 23:37 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 37 楼直接传递IRP还不够底层哦，如果对方做得更底层的话就…… 2013-5-6 01:58 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 38 楼或者它查了查特征码啥的，然后它的特征码有找得比较准，LZ正好躺枪 2013-5-6 02:00 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 39 楼喊简单啊.你鼠标不动啊,键盘不动啊然后游戏内有可能还有个窗体啊,.那个窗体跟游戏同步接收消息的啊 .一个有消息一个没消息你就去了啊 2013-5-7 19:24 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 40 楼无知你驱动下发的消息怎么能和手动的没区别手动操作鼠标会发出连续的移动消息你有吗西游的检测完全可以做到打开你的进程看你的内存上传不就是个read copy 操作吗有多大的工作量现在都是什么U了硬件的提升直接打击的是谁？看你的连续发问觉得你连Windows的机制都没了解三石完全可以在安装客户端的时候安装ROOTKIT 别忘了315曝光他的好事到现在依然天马行空 2013-5-7 20:19 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 41 楼你完全胡扯怎么没H 影子里的函数你用的什么看的？明明白白的就是H了完全就是对付按键的人家完全可以学习360的方法你洗洗360 就知道了 2013-5-7 20:23 0
永驻零一雪币： 46 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 337 粉丝 0 关注私信	永驻零一 42 楼你说的没错属性设为不显示窗口它的游戏它想怎么写都行写多少线程都行这就163 2013-5-7 20:24 0
asrn 雪币： 95 活跃值： (64) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 65 粉丝 2 关注私信	asrn 1 43 楼 XueTr没看到有什么问题 2013-5-7 21:07 0
tishion 雪币： 496 活跃值： (286) 能力值： ( LV13，RANK：400 ) 在线值：发帖 20 回帖 319 粉丝 11 关注私信	tishion 9 44 楼楼主。。。做模拟的原则是越高层越逼真你搞个鼠标键盘模拟还从驱动层做，更听到有人说需要更底层，那你不如直接发包呢。。对于模拟的检测，一般Server的做法是通过建模分析比对。 2013-5-7 21:17 0
wltext 雪币： 18 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 48 粉丝 0 关注私信	wltext 45 楼楼上讲的好，很可能是你的代码太自动了，命中率太高了，超出了正常范围，肯定被检查出啦 2013-5-7 21:52 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 46 楼对的.我的一朋友以前做网易的就是用切换窗口加鼠标移动.发送键盘消息.完全模拟.后来他改用虚拟硬件来输入.虚拟鼠标键盘.目测这样是极限做法 2013-5-7 21:53 0
asrn 雪币： 95 活跃值： (64) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 65 粉丝 2 关注私信	asrn 1 47 楼请有兴趣的朋友移步到下面这个帖子讨论，源码已经公开。 http://bbs.pediy.com/showthread.php?t=171203 2013-5-7 23:54 0
qianbidao 雪币： 47 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 25 粉丝 0 关注私信	qianbidao 48 楼影藏挂的进程等加强保护措施 2013-5-8 00:07 0
abutter 雪币： 28 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	abutter 49 楼按键速度判断之类的？ 2013-5-9 15:17 0
motototo 雪币： 691 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 31 粉丝 0 关注私信	motototo 50 楼我觉得问题可能在这里 KeyboardClassServiceCallback 2013-5-9 16:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复